31.10.17

Сиюминутность ИБытия или анализ страхования рисков и блокчейна в исторической перспективе

В промышленности, если по крупному, можно выделить два вида технологических процессов - дискретный и непрерывный. Вот иногда смотришь на нашу отрасль ИБ и видишь, что многие оценивают происходящие на ней события дискретно - в некоторой отдельно взятой точке, в отрыве от всего того, что происходит вокруг, происходило раньше и может произойти в будущем. Такая дискретность приводит к тому, что многие события, и глобального, и национального, и внутрикорпоративного масштаба, оцениваются "здесь и сейчас", забывая сопоставлять их с тем, что уже происходило ранее. Отсюда очень часто делаются неверные выводы. Да и прогнозирование тоже оставляет желать лучшего.

Возьмем, к примеру, мою заметку на ФБ про то, что я готовлю резюме. Большинство попало в классическую ловушку сознания, посчитав, что резюме готовят только при увольнении. Чуть позже вышедшее "разоблачение", что резюме мне нужно для получения визы в США (а для спецпроверки нужно резюме и список публикаций), прочитали уже не все, не сопоставив эти два события. В итоге в среде специалистов опять пошла волна, что я ухожу из Сиско (такие "волны" конкуренты часто используют общаясь с заказчиками Сиско). Почему-то многие рассматривали заметку про резюме как законченное, дискретное событие. Отсюда абсолютно неверные выводы. Представьте, что тоже самое происходит при анализе логов для расследовании инцидентов?.. Был как-то инцидент пару лет назад в США. На одном критически важном объекте вдргу зафиксировали попытку доступа с IP-адреса, который система защиты распознала как российский. Начался шум, в СМИ просочились детали, журналисты написали очередную утку про русских хакеров. Классическая сиюминутность ИБытия. Потом выяснилось, что просто админ объекта, из отпуска полез удаленно менять конфиг (задание ему такое поступило срочно). При этом находится он в Европе и система защиты ошибочно отнесла его IP-адрес к диапазону, выделенному какому-то российскому провайдеру. Вот и весь "инцидент", который произошел из-за дискретного отношения к ИБ, отсутствия оценки происходящих вокруг событий. Неслучайно сейчас так активно развивается тема с ретроспективной безопасностью, позволяющей анализировать историческую совокупность событий с целью иентификации причин их возникновения.

Другой пример - страхование киберрисков. После статьи в Коммерсанте о готовящейся инициативе по обязательному страхованию киберрисков (по аналогии с ОСАГО), все заговорили о том, как это своевременно и нужно. Однако мало кто вспомнил, что теме страхования информационных рисков в России уже 20 лет (будет в следующем году). Еще в 1998-м году было подписано Соглашение о сотрудничестве в области страхования информационных рисков между Госкомсвязи России и страховыми организациями (№6836 от 10.11.98). Спустя месяц было Госкомсвязью было подписано Указание от 4 декабря 1998 года №121-У "О реализации соглашения о сотрудничестве в области страхования информационных рисков", в котором упоминались среди прочего уже разработанные документы, которые должны были лечь в основу нового законодательства по страхованию информационных рисков (в точ числе и обязательного). Среди этих документов:
  • Проект Концепции страхования информационных рисков
  • Проект Концепции развития системы страхования информационных рисков
  • Отчет "Анализ объема отечественного рынка информационных систем, ресурсов и технологий как объектов страхования".
  • Отчет "Анализ страхового поля по страхованию ответственности разработчиков, изготовителей и поставщиков систем автоматизации банковской деятельности, систем и средств защиты информации, информационных ресурсов и технологий, а также информационно - вычислительных и автоматизированных систем различного назначения".
  • Отчет "Анализ статистических данных по безопасности информационных систем с целью определения вероятности страховых случаев и размеров предполагаемого ущерба".
  • Отчет "Анализ методических и нормативных документов в деятельности зарубежных и отечественных страховых компаний и подготовка проектов соответствующих организационно - методических документов по страхованию информационных рисков". 
  • Проект Правил страхования (информационных рисков) информационных систем, информационных ресурсов, технических и программных средств вычислительной техники и оргтехники предприятий, организаций, учреждений и граждан. 
  • Технико - экономическое и социальное обоснования эффективности операций по страхованию информационных рисков. 
  • Проект Методики управления информационными рисками. 
  • Проект Методики оценки стоимости информационных систем, ресурсов, программных и технических средств вычислительной техники как объектов страхования. 
  • Проект Положения и инструкции о проведении экспертизы информационных систем, технологий, программных ресурсов, технических и программных средств вычислительной техники при заключении договора страхования и при возникновении страхового случая.
Второй виток интереса к теме страхования информационных рисков случился 5-тью годами позже (основным застрельщиком был ВНИИПВТИ), когда возникла тема с законопроектом об обязательной гражданской ответственности государственных информационных систем. В трехглавый закон "Об информации, информатизации и защите информации" планировали внести новую статью 22.1 "Страхование информационных ресурсов, систем, технологий и средств их обеспечения" с всего двумя пунктами  (аналогичная норма должна была войти в закон "Об информационных ресурсах и информатизации в г.Москве"):
  1. Государственные информационные ресурсы, системы, технологии и средства их обеспечения подлежат обязательному страхованию. Порядок и условия страхования определяются законодательством Российской Федерации.
  2. Негосударственные информационные ресурсы, системы, технологии и средства их обеспечения страхуются в порядке, установленном законодательством Российской Федерации.
Позже планировалось разработать отдельный закон "Об обязательном и добровольном страховании информационных рисков", а также внести ряд поправок в нормативно-правовые акты по страхованию, банковской деятельности и т.п.

Но уже тогда стало понятно, что тема со страхованием информационных рисков (тем более обязательном) красиво смотрится на бумаге, но сложна в практической реализации. Не было общепринятых методик оценки рисков, методик оценки стоимости информации, накопленной статистики инцидентов ИБ по отраслям. Их отсутствие было основным камнем преткновения в страховых расчетах, которые бы принимались всеми сторонами. И что мы видим сейчас? Воз и ныне там - ничего из названного за 20 лет так и не появилось. Оценка рисков как была шаманством так и осталась. Считать стоимость информации не умеют (хотя методики есть). Статистика есть только у МВД, но она однобока и сложноприменима в страховом деле.

Что дает основание считать, что именно сейчас страхование киберрисков взлетит? Почему про эту тему все говорят с придыханием? То, что ее упомянули в программе "Цифровой экономики"? Так там много чего еще написано, включая и сертификацию криптографических алгоритмов, и навязывание Китаю российских антивирусов. Или то, что эту тему драйвит Сбербанк с его ресурсами. Ну возможно в узком сегменте страхование мошенничеств с платежными картами и взлетит, но что в нем нового? Я уже несколько лет страхую операции по платежным картам в своем банке (и это не Сбер).

Все-таки надо наш темп жизни играет с нами плохую шутку - мы перестаем критически оценивать все, что происходит вокруг нас. Блокчейн? Да! Давайте! Это крутая технология. Но кто-нибудь посмотреть чуть вперед и оценил, что станет с блокчейном после того, как появится реально работающий квантовый компьютер? Одно дело сиюминутные финансовые транзакции, интерес к которым угасает после их совершения. И совсем другое дело долгосрочные сделки с недвижимостью, переводы акций, кадастровые реестры и т.п. Ведь реально работающий квантовый компьютер может не только поставить крест на современном блокчейне, используюем математику, не учитывающую квантовые вычисления, но и внести анархию в сделки, которые могут быть совершены за эти несколько лет (до выхода квантового компьютера). А все потому, что сиюминутность ИБытия и дискретное мышление без оглядки на прошлое и без прогнозирования будущего. Аукнется нам еще такая близорукость...